Hier, Microsoft a annoncé à des milliers de clients, principalement des entreprises, qu’une importante faille de sécurité sur leur service cloud Azure avait été corrigée. Le défaut détecté aurait pu permettre à des intrus de pénétrer dans les bases de données des clients afin de les consulter, de les modifier ou même de les supprimer.
D’après Microsoft, cette faille de sécurité a été corrigée avant de pouvoir être exploitée par des individus ou logiciels malveillants.
Microsoft a égaré ses clés
La faille de sécurité en question, nommée ChaosDB, a été découverte par l’entreprise de sécurité Wiz. Dans les grandes lignes, Microsoft Azure a donné accès aux clients de Cosmos DB à une fonctionnalité de représentation graphique de leurs données, appelée Jupyter Notebook. Disponible depuis 2019, Jupyter Notebook n’a cependant été activé par défaut que depuis février 2021.
Or, via une méthode qui n’a pas encore été publiée par Wiz, l’expert en sécurité a réussi à accéder aux Jupyter Notebook d’autres clients de Microsoft Azure. Pire encore, la faille de sécurité détectée permettait alors de récupérer les clés primaires donnant l’accès aux services Cosmos DB de milliers de clients. De là, il était possible d’accéder aux bases de données, de les modifier ou de les supprimer, de la même manière qu’un administrateur.
La faille a été détectée par Wiz au début du mois d’août, et Microsoft a été prévenu dans la foulée. Depuis, le géant américain a corrigé la faille de sécurité. Mais, n’ayant pas accès aux clés primaires potentiellement compromises, Microsoft demande désormais à plusieurs milliers de clients de modifier eux-mêmes leurs clés. Et certains très gros comptes, comme Coca-Cola ou Exxon-Mobile, font partie des potentielles victimes.
Une mauvaise passe pour Microsoft
Microsoft n’avait certainement pas besoin d’une telle nouvelle. Même si des mesures ont été prises très rapidement, et qu’aucune véritable attaque ne semble avoir exploité cette faille, il s’agit une nouvelle fois d’une mauvaise presse pour l’entreprise de Redmond. En effet, Microsoft doit continuer de gérer les effets de l’affaire « PrintNightmare », mais aussi les retombées politiques, médiatiques et commerciales des failles de Microsoft Exchange.
Et, encore une fois, la gestion du problème par Microsoft semble discutable. Sur son site internet, Wiz précise ainsi que, si Microsoft a prévenu les clients qui ont été affectés par ChaosDB au moment de sa découverte début août, la faille de sécurité était en réalité exploitable depuis des mois. Wiz conseille donc à tous les comptes Cosmos DB utilisant Jupyter Notebook de modifier leurs clés primaires.
Source : Reuters
